Das deutsche Bundesinnenministerium will bei der Reform des Telekommunikationsgesetzes (TKG) weitreichende sicherheitspolitische Maßnahmen durchsetzen. Unter anderem will der Staat Betreiber von Messengern dazu verpflichten, sogenannte Identifizierungsmerkmale zu erheben.
Die Pläne des Innenministeriums gehen aus einem Forderungskatalog hervor [1], den der E-Mail-Provider Posteo veröffentlicht hat. Demnach will der Staat die Betreiber von sogenannten nummernunabhängigen Telekommunikationsdiensten wie Messengern oder E-Mail dazu verpflichten, “Identifizierungsmerkmale zu erheben, zu verifizieren und im Einzelfall den Sicherheitsbehörden zur Verfügung zu stellen”. Das Ministerium übernimmt damit eine von den Ländern Niedersachsen und Mecklenburg-Vorpommern stammende Forderung der Innenministerkonferenz. Beide hatten vor gut einem Jahr zudem im Bundesrat eine Identifizierungspflicht von Nutzern sozialer Netzwerke gefordert.
Whatsapp und Facebook-Messenger
Zur Begründung der Forderung heißt es nun: “Somit kann zur Aufklärung von Straftaten im Einzelfall die Anonymität aufgehoben werden.” Erhoben werden sollen Namen, Anschrift und Geburtsdatum der Nutzer. “In erster Linie zielt diese Regelung auf Messenger-Dienste ab, die primär durch ausländische Anbieter wie beispielsweise Whatsapp oder Facebook angeboten werden”, schreibt das Ministerium (Abbildung 1).

Abbildung 1: Facebook-CEO Mark Zuckerberg setzt bei der Technologie-Konferenz F8 auf Privatsphäre. Quelle: Facebook
Es sei davon auszugehen, dass sich der Aufwand für die Anbieter zumindest teilweise in Grenzen halte, “da bereits Identifizierungsmerkmale zum Teil schon jetzt erhoben werden, um diese als geldwerten Vorteil zu nutzen”. Selbst ein Erfüllungsaufwand im hohen zweistelligen Millionenbereich sei verhältnismäßig, da dem eine signifikante Verbesserung der Strafverfolgung gegenüberstehe, meinen die Verfasser des Entwurfs.
Kritik von Posteo
Posteo kritisierte in einem Blog-Beitrag [2] die Forderung scharf: “Die Identifizierungspflicht würde die Art und Weise, wie Menschen hierzulande Online-Dienste nutzen, grundlegend ändern. Die Nutzerinnen müssten stets zunächst ein Ident-Verfahren durchführen beziehungsweise den Ausweis vorzeigen und wären gezwungen, ihre verifizierten Daten bei zahlreichen, über die ganze Welt verstreuten Unternehmen zu hinterlegen.”
Seit dem 1. Juli 2017 müssen sich in Deutschland bereits die Käufer von Prepaid-Karten in einem aufwendigen Verfahren registrieren. Bei kostenlosen E-Mail-Diensten wird die Identität in der Regel nicht überprüft, bei Messengern genügt eine gültige Telefonnummer. Dem Blogpost zufolge wurde Posteo gegenüber “aus gut informierten Kreisen noch einmal bestätigt, dass die Identifizierungspflicht weiterhin nicht vom Tisch ist. Eine frühere Version des Papiers hatte sogar eine Entschlüsselungspflicht für die Anbieter enthalten – diese scheint nun entfallen”, heißt es weiter.
Zugang zu Serverräumen
Zu den insgesamt 15 Punkten der sogenannten Formulierungshilfe gehört auch die Forderung, Telekommunikationsdienste bei der Mithilfe zur Installation von Staatstrojanern zu verpflichten. Diese Forderung fand sich im vergangenen Sommer bereits in einem neuen Geheimdienstgesetz. Doch nun soll diese Möglichkeit verschärft und im TKG verankert werden, sodass alle Sicherheitsbehörden davon Gebrauch machen könnten.
Die Provider sollen dazu Hilfestellungen gewähren und das Aufstellen und den Betrieb von “technischen Mitteln” für den Einsatz von Staatstrojanern in ihren eigenen Räumen dulden. Den Behördenmitarbeitern sollen sie dazu den erforderlichen Zugang zu den Servern gewähren. Darüber hinaus sollen sie den Datenstrom des betroffenen Anschlusses zu den Behörden umleiten. Das gilt auch dann, wenn die Abhörtechnik nicht beim Provider installiert ist, sondern bei den Behörden.
Genauere Standortdaten
Doch die Überwachungswünsche des Ministeriums gehen noch weiter. Als alarmierend bezeichnet Posteo, dass künftig nicht nur Provider verpflichtet werden sollen, Personendaten für Auskunftsersuchen der Behörden zu speichern, sondern auch Internet-Zugangsdienste und “besonders alle Mitwirkenden”. Dazu zählen laut Posteo Hotels, Internet-Cafés und Krankenhäuser. Dem Ministerium zufolge könnten auch Auftragsverarbeiter dazugehören.
“Es wird versucht, jeden zur Datenerhebung heranzuziehen, der auch nur im entferntesten in Berührung mit dem Erbringen von TK-Dienstleistungen kommt. So entstehen an vielen Stellen in der Gesellschaft Datenhalden und zur Auskunft gegenüber den Behörden Verpflichtete”, kritisiert Posteo.
Des Weiteren sollen Provider künftig im 5G-Netz sicherstellen, “dass die Sicherheitsbehörden IMSI-Catcher einsetzen können, ohne dass dies dem Endnutzer bekannt wird”. Zwar sehe der Entwurf des neuen TKG bereits vor, dass die Provider den Einsatz von IMSI-Catchern erlauben müssten, jedoch fehle die Ergänzung, dass dies dem Endnutzer nicht bekanntwerden dürfe.
Darüber hinaus wollen die Behörden von den Providern genauere Standortdaten “mit der größtmöglichen Genauigkeit zum Standort eines Endgerätes” abfragen dürfen. Die bisherigen GPS-Daten des Funkzellenstandorts seien dazu nicht ausreichend. Nach Ansicht der Regierung liegen in den Mobilfunknetzen aller Generationen “jetzt schon dem Mobilfunkbetreiber standortrelevante Daten vor, die eine weitaus genauere Positionierung des mobilen Endgerätes zulassen”.
Die 28-seitige Wunschliste des Innenministeriums enthält zudem die Forderung, dass die Behörden sämtliche gespeicherten Bestands- und Verkehrsdaten bei den Providern abfragen dürfen. Die bisherige Einschränkung auf Daten, die für bestimmte Zwecke erhoben werden, soll demnach entfallen. Dieses Thema spielte in der Debatte um die Herausgabe gehashter Passwörter eine Rolle, da die Behörden den Provider zwingen könnten, zusätzliche Merkmale wie Salts herauszugeben.
Kritik in Expertenanhörung
Inwieweit der Forderungskatalog noch im Gesetzgebungsprozess berücksichtigt werden kann, bleibt unklar. Mit einer ähnlichen “Formulierungshilfe” hatte die Bundesregierung allerdings schon vor vier Jahren den umfangreichen Einsatz von Staatstrojanern in ein anderes Gesetzgebungsverfahren eingebracht.
Laut Posteo gibt es zumindest in der SPD-Fraktion Bedenken. In einer Anhörung im Bundestag hatten Experten bereits am vom Kabinett im Dezember beschlossenen Entwurf einiges auszusetzen. So kritisierte der Bundesdatenschutzbeauftragte Ulrich Kelber laut Bundestag [3], dass die Vorschriften zur Vorratsdatenspeicherung nicht nennenswert geändert wurden. Frank Rieger vom Chaos Computer Club (CCC) hielt den Gesetzentwurf für zu wenig ambitioniert.
Parteiintern
Der Startup-Beauftragte der Bundesregierung, Thomas Jarzombek (CDU), deutete auf Twitter [4] an, dass zumindest einige Punkte der Wunschliste umgesetzt werden könnten. Alle Punkte stammten vom Innenministerium, seien jedoch in der Ressortabstimmung durchgefallen. “In der Abstimmung der Fraktion sind die meisten Punkte ebenfalls abgelehnt worden.” Welche Punkte nicht abgelehnt wurden, erläuterte Jarzombek (Abbildung 2) allerdings nicht. Federführend bei der TKG-Novelle ist das Wirtschaftsministerium unter Peter Altmaier (CDU), nicht das Innenministerium unter Horst Seehofer (CSU).

Abbildung 2: Thomas Jarzombek (CDU) hält die Umsetzung einiger Punkte für möglich. Quelle: Tobias Koch
Die SPD steht einer Identifizierungspflicht auf Online-Plattformen zumindest nicht ablehnend gegenüber. So heißt es im aktuellen Programm zur Bundestagswahl 2021, das Anfang März vorgestellt wurde: “Bei hinreichenden tatsächlichen Anhaltspunkten auf eine Straftat müssen Verdächtige identifiziert werden können. Wir werden deshalb auch die Plattformbetreiber verpflichten, die Voraussetzungen für eine grundsätzliche Identifizierbarkeit zu schaffen.” Eine Klarnamenpflicht lehnt die Partei aber ab.
Infos
- Forderungskatalog: https://posteo.de/FormulierungshilfeBMI.pdf
- Blogpost: https://posteo.de/blog/tkg-novelle-bmi-will-identifizierungspflicht-für-internetnutzer
- Kritik des Bundesdatenschutzbeauftragten: https://www.bundestag.de/wirtschaft#url=L2Rva3VtZW50ZS90ZXh0YXJjaGl2LzIwMjEva3cwOS1wYS13aXJ0c2NoYWZ0LXRlbGVrb21tdW5pa2F0aW9uc3JlY2h0LTgyMjI4Mg==&mod=mod538982
- Tweet des Startup-Beauftragten: https://twitter.com/tj_tweets/status/1367080369456054272






